Kişisel Verilerin Korunması ve Gizlilik Politikası

İNCİ MOBİLYA MALZEMELERİ TİCARET VE SANAYİ ANONİM ŞİRKETİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

1. AMAÇ VE KAPSAM

İnci Mobilya Malzemeleri Ticaret ve Sanayi Anonim Şirketi Kişisel Verilerin İşlenmesi ve Korunması Politikası, kişisel verilere ilişkin mevzuat çerçevesinde şeffaflığın ve hesap verilebilirliğin sağlanması amacıyla hazırlanmıştır. Bu politika ile İnci Mobilya Malzemeleri Ticaret ve Sanayi Anonim Şirketi (“İnci”) tarafından kişisel verileri işlenmekte olan bireylerin bilgilendirilmesi ve aydınlatılması

hedeflenmektedir.

İnci Mobilya Malzemeleri Ticaret ve Sanayi Anonim Şirketi Kişisel Verilerin İşlenmesi ve Korunması Politikası kapsamına, şirketimiz tarafından kişisel verileri işlenmekte olan tüm gerçek kişiler girmektedir. Öte yandan İnci çalışanlarına özgü ayrı bir kişisel verilerin işlenmesi ve korunması politikası bulunmaktadır. Bahsi geçen politikada değinilmemiş konular hakkında bu politika uygulama alanı bulacaktır.

2. TANIMLAR

Politikada kullanılan ve metnin bütünlüğü açısından açıklanması gereken tanımlar aşağıdaki gibidir:

Açık rıza:

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

Kişisel verilerin anonim hâle getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,

devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel verilerin imhası: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi.

Kurul: Kişisel Verileri Koruma Kurulu.

KVK Kanunu: 6698 sayılı Kişisel Verilerin Korunması Kanunu.

Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler gibi özel nitelikli veriler.

Politika: İnci Mobilya Malzemeleri Ticaret ve Sanayi Anonim Şirketi Kişisel Verilerin İşlenmesi ve Korunması Politikası.

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri sahibi ya da ilgili kişi: Kişisel verisi işlenen gerçek kişi.

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

3. VERİ SORUMLUSUNUN KİMLİĞİ

Bu politikanın kapsamına giren her türlü kişisel veri işleme faaliyeti için veri sorumlusunun kimliğine ilişkin bilgilere aşağıda yer verilmektedir.

Veri sorumlusu: İnci Mobilya Malzemeleri Ticaret ve Sanayi Anonim Şirketi

MERSİS No: 0478002005500180

Adres: Kazım Karabekir Mah. Bekir Saydam Cad. No:80, Pancar, Torbalı, İzmir

KEP Adresi: İncimobilya@hs03.kep.tr

E-posta Adresi: kvkk@yatsan.com

Veri sorumlusu ile ilgili bilgilere VERBİS üzerinden de erişebilirsiniz.

4. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER

KVK Kanunu m. 4, kişisel verilerin işlenmesi için uyulması gereken temel ilkeleri listelemektedir. Söz konusu ilkeler, İnci tarafından gerçekleştirilen tüm kişisel veri işleme faaliyetleri kapsamında dikkate alınmakta ve titizlikle uygulanmaktadır. Bahsi geçen ilkeler ve bunlara ilişkin açıklamalar aşağıda yer almaktadır:

Hukuka ve Dürüstlük Kuralına Uygun Olmak: İnci, kişisel verilerin işlenmesi ve korunması yükümlülüğünü yerine getirirken, hukukun genel ilkelerine ve 4721 sayılı Türk Medeni Kanunu’nda düzenlenmiş olan dürüstlük kuralına uygun olarak hareket etmektedir.

Kişisel Verilerin Doğru ve Güncel Olmasını Sağlamak: Kişisel verilerin bireyler hakkında doğru ve güncel bilgileri sağlaması, bireylerin haklarının korunması için büyük bir önem taşımaktadır. İnci, işlenmekte olan kişisel verilerin doğru ve güncel olmasını sağlamak adına kendisinden beklenecek makul düzeyde özeni göstermektedir.

Belirli, Açık ve Meşru Amaçlarla Kişisel Veri İşlemek: Kişisel verilerin işlenmesi ile ulaşılmak istenilen amaçlar, kişisel veri işleme faaliyetinin hukuka uygun olup olmadığının belirlenmesinde en önemli kriteri oluşturmaktadır. Bu kapsamda KVK Kanunu veri işleme faaliyetlerinin belirli, açık ve meşru amaçlarla işlenmesini gerektirmektedir. İnci de bu ilke çerçevesinde ticari faaliyetlerinin gerektirdiği belirli, açık ve meşru amaçlarla kişisel veri işleme faaliyetleri yürütmektedir.

İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olmak: İnci, kişisel verileri ticari faaliyetleri kapsamında belirlenen amaçları gerçekleştirmesine yetecek kadar işlemektedir. İnci ayrıca ihtiyaç olmayan kişisel verileri işlemekten kaçınarak sınırlı ve ölçülü olmak prensibine uygun hareket etmektedir.

İlgili Mevzuatta Öngörülen veya İşlendiği Amaç için Gerekli Olan Süre Kadar Muhafaza

Etmek: İnci tarafından işlenmekte olan kişisel veriler, kişisel veri işleme şartları kapsamında değerlendirilebilecek kişisel veri işleme amaçlarının ortadan kalkmasına kadar geçecek süre boyunca muhafaza etmektedir. Söz konusu amaçlar ortadan kalktığında, İnci tarafından ilgili kişisel

verilerin muhafaza edilmesi işlemleri sonlandırılacaktır.

5. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUKUKİ SEBEPLER

KVK Kanunu, kişisel verilerin işleme hukuki sebeplerini 5 numaralı maddesi altında listelemektedir. Eğer bir veri sorumlusu tarafından kişisel verilerin işlenme amaçları, KVK Kanununda listelenmiş olan kişisel veri işleme hukuki sebepleri çerçevesinde değerlendirilebiliyorsa, o veri sorumlusu kişisel verileri hukuka uygun olarak işleyebilmektedir. Bu kapsamda İnci tarafından da güdülmekte olan kişisel veri amaçlarının, KVK Kanununda düzenlenen kişisel veri işleme hukuki sebepleri kapsamında değerlendirilebildiği durumlarda İnci tarafından kişisel veri işleme faaliyetleri gerçekleştirilmektedir.

KVK Kanununda yer alan kişisel veri işleme hukuki sebepleri aşağıda paylaşılmaktadır:

1. İlgili kişinin açık rızasının bulunması,
2. Kanunlarda açıkça öngörülmesi,
3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
4. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
5. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
6. Veri sahibinin kendisi tarafından alenileştirilmiş olması,
7. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
8. Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUKUKİ SEBEPLER

İnci, KVK Kanunu’nun 6. maddesinde yer alan veri işleme hukuki sebeplerinin varlığı halinde özel nitelikli kişisel verileri işleyebilmektedir. Özel nitelikli kişisel veriler, bireyler arasında ayrımcılık yapılmasını sağlayacak herhangi bir amaçla ya da bir bireyin hukuka aykırı muamelelere maruz kalmasına sebep olacak şekilde işlenmemektedir. Ayrıca İnci tarafından ilgili mevzuatta öngörüldüğü şekilde ek güvenlik önlemleri, özel nitelikli kişisel verilerin güvenliğinin sağlanması amacıyla alınmaktadır. KVK Kanunu m. 6’da yer alan özel nitelikli kişisel verilerin işlenme hukuki sebepleri şunlardır:

1. İlgili Kişinin açık rızasının bulunması,
2. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması.

7. KİŞİSEL VERİLERİN KATEGORİZASYONUNA İLİŞKİN AÇIKLAMALAR

Kişisel verilere ilişkin ilgili kişilere sunulan aydınlatma metinlerinde, veri kategorileri kullanılmaktadır. Bu kategoriler VERBİS sistemi çerçevesinde hazırlanmış olup her bir kategori içerisinde yer alabilecek veri tipleri örnekleri aşağıda gösterilmiştir.

Kişisel Veri Kategorisi Kategori İçerisinde Yer Alan Veri Örnekleri

1. Kimlik

Adı, soyadı, anne – baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, edeni hali, nüfus cüzdanı seri, sıra no, TC kimlik no gibi.

1. İletişim

Adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi.

1. Lokasyon

Bulunduğu yerin konum bilgileri.

1. Özlük

Bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi.

1. Hukuki İşlem

Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi.

1. Müşteri İşlem

Çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi.

1. Fiziksel Mekân Güvenliği

Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi.

1. İşlem Güvenliği

IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi.

1. Risk Yönetimi

Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi.

1. Finans

Bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri gibi.

1. Mesleki Deneyim

Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi.

1. Pazarlama

Alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler.

1. Sağlık Bilgileri

Engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi.

1. Ceza Mahkûmiyeti ve Güvenlik Tedbirleri

Ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi.

8. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

İnci’nin kişisel verileri saklama süresi ilgili mevzuatta belirlenen süreler dikkate alınarak hesaplanmaktadır. Bu sürelerin dolmasına rağmen KVK Kanununda yer alan kişisel veri işleme şartlarından herhangi birisinin bulunmasını sağlayacak veri işleme amaçlarının varlığı halinde bireylerin kişisel verileri işlenmeye ve saklanmaya devam edilecektir.

KVK Kanununda yer alan kişisel veri işleme şartlarının varlığını ortadan kaldıracak kişisel veri işleme amaçlarının sona ermesi halinde, İnci tarafından kişisel veriler imha edilecektir. Söz konusu imha işlemleri ilgili mevzuatın hükümlerine uygun olarak altı aylık periyotlarla re’sen gerçekleştirilmekte ya da veri sahiplerinden gelen taleplerin gerektirmesi halinde neticeye bağlanmaktadır.

İnci tarafından kişisel verilerin imhası, kişisel verilerin yer aldığı ortamlara göre silme, anonimleştirme ya da yok etme teknikleri kullanılarak yerine getirilmektedir. Söz konusu teknikler hakkında detaylı

bilgiler Kurul tarafından yayınlanmış olan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi içerisinde yer almaktadır.

9. KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞILMASI

Bankacılık faaliyetlerinin gereklilikleri nedeniyle İnci tarafından kişisel verilerin yurtiçinde bulunan

kişilerle/kurumlarla paylaşılması söz konusu olabilmektedir. İnci tarafından kişisel veri paylaşımlarının takip edilmesi amacıyla, paylaşım yapılan kişiler aşağıda yer alan kategorilere ayrılmıştır:

Veri Alıcısı Grubu Örnekler

1. Gerçek veya Özel Hukuk Tüzel Kişileri: Bankalar gibi.
2. Tedarikçiler: Bilgi teknolojileri sağlayıcıları, kargo şirketleri, ham madde satıcıları gibi.
3. Yetkili Kamu Kurum ve Kuruluşları: Mahkemeler, tüketici hakem heyetleri, SGK, bakanlıklar gibi.

10. VERİ SAHİBİNİN HAKLARI

KVK Kanunu’nun 11 numaralı maddesi kapsamında veri sahiplerine tanınan haklar aşağıda sıralanmaktadır:

1. Kişisel veri işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
4. öğrenme,
5. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
6. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
7. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde
10. zararın giderilmesini talep etme.

6698 sayılı Kanunun “ilgili kişinin haklarını düzenleyen” 11 inci maddesi kapsamındaki taleplerinizi, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe göre veri sorumlusuna iletebilirsiniz. Bu kapsamda aşağıdaki adreslere başvuruda bulunmanız yeterli olacaktır:

1. Adres: Kazım Karabekir Mah. Bekir Saydam Cad. No:80, Pancar, Torbalı, İzmir
2. KEP Adresi: incimobilya@hs03.kep.tr
3. E-posta Adresi: kvkk@yatsan.com

Şirketimiz, yukarıda sıralanan haklarınıza ilişkin ileteceğiniz talepleri, iletim tarihinden sonra en kısa sürede ve en geç otuz günde ücretsiz olarak sonuçlandıracaktır. Veri sahipleri tarafından yapılan başvuruların yanıtlanması amacıyla İnci tarafından başvurucunun kimliğinin doğrulanması ile başvurucu talebinin netleştirilmesi amacıyla ek bilgi ve belge talep edilebilecektir. Söz konusu bilgi ve belgelerin paylaşılmaması halinde veri sahibinin başvurusu cevaplanamayabilecektir.

11. KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN TEDBİRLER

İnci, işlemekte olduğu kişisel verilerin gizliliğinin ve güvenliğinin sağlanması konusunda gereken her türlü makul dikkat ve özeni sağlamaktadır. İnci KVK Kanunu’nun 12. maddesi çerçevesinde veri gizliliğinin ve güvenliğinin sağlanması için de gereken her türlü teknik ve idari tedbirlerini makul düzeyde almaktadır. Söz konusu idari ve teknik güvenlik tedbirleriyle birlikte kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ile

kişisel verilerin uygun güvenlik düzeyinde muhafaza edilmesi hedeflenmektedir.

İnci, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi (veri işleyen) tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin ilgili veri işleyenler tarafından da alınmasını sağlayacaktır.

Kişisel verilerin üçüncü kişiler tarafından hukuka aykırı olarak ele geçirilmesi halinde, ilgili mevzuat

hükümleri uyarınca veri sahiplerine, Kurul’a ve diğer ilgili kamu kurum ve kuruluşlarına bildirimde bulunacaktır.

Kişisel verilerin güvenliğine ilişkin tedbirler alınırken Kurul tarafından yayınlanmış olan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) göz önünde bulundurulmaktadır.